ai-ing-ping1 ELECCON 2024 AI-NG-PING Write-UP 10월 8일에 진행된 ELECCON에 참가하여 본선 진출이라는 좋은 결과를 얻었다. 1학년 때부터 지금까지 많은 CTF를 출전하였지만 본선에 진출한 적이 거의 없었고, 정말 열심히 풀었기 때문에 기억에 많이 남는 대회였다. AI-NG-PING(침해사고대응) 사용자가 웹 셸을 삽입하였고, 그 과정에서 SQL Injection을 사용하였다는 정보가 있다.로그를 내리다 보면 SQLi를 시도한 흔적을 살펴볼 수 있다. 이 후 다른 증거를 찾기 위해 세 시간 동안 삽질하였다... 그러다 sql query를 날릴때 사용하는 파라미터인 searchNAME 으로 파일을 필터링 하였다.그 후 그 파일을 다시 shell로 필터링 하였다. (사실 web_log 파일에서 바로 shell로 필터링 해도 된다.)2024-01-0.. 2024. 10. 14. 이전 1 다음
